Ondskapelig Panda

Det har vært flere historier de siste månedene om cyberkriminelle som bruker den virkelige trusselen fra Coronavirus for å spre skadelig programvare og løsepengeprogramvare . Disse truslene har blitt spredt over hele verden, men det har vært en rekke som har kommet spesielt fra Kina. Til det punktet at den statsstøttede kinesiske hackergruppen Vicious Panda har begynt å spre sin egen skadevare gjennom koronaviruset.

Informasjonen om angrepet kommer fra Check Point, som publiserte forskning som viser at en kinesisk APT har "våpen" legitim informasjon om koronaviruset for å spre deres ondsinnede skadevare til massene.

Det andre angrepet

Vicious Panda-angrepet er faktisk den andre store koronavirus- (COVID-19)-relaterte malware-kampanjen som har kommet ut av Kina de siste ukene. Den første skjedde i begynnelsen av mars da den vietnamesiske cybersikkerhetsgruppen VinCSS la merke til et angrep fra Mustang Panda. Mustang Panda er en annen kinesisk statsstøttet hackergruppe.

Angrepet deres var kjent for å distribuere e-poster med en vedlagt RAR-fil som hevdet å inneholde en melding fra den vietnamesiske statsministeren om koronaviruset. I stedet for å inneholde noen form for viktig melding, inneholdt RAR-filen en bakdørstrojaner som installerte seg på offerets datamaskiner og åpnet dem for hackergruppen.

Ondskapelig panda angriper den mongolske regjeringen

Vicious Panda-angrepet ble oppdaget av Check Point, som sa at de fulgte med på gruppen da de var rettet mot mongolske regjeringsorganisasjoner. I likhet med det første angrepet hevdet gruppen å ha viktig informasjon om koronavirus som brukere burde laste ned for å få tilgang til.

Check Point var i stand til å avskjære et cyberangrep fra en "kinesisk APT-gruppe på en offentlig sektor i Mongolia." Angrepet utnyttet frykten for koronavirus under den sosiale ingeniørfasen. Den inneholdt to dokumenter. Ett av dokumentene var relatert til COVID-19, og begge hevdet å være fra det mongolske utenriksdepartementet. Dokumentene kom pakket med en unik trussel mot skadelig programvare som muliggjorde ekstern tilgang til offerets datamaskiner.

ond panda spam e-post sprer skadelig programvare
E-postvedlegg – Kilde: research.checkpoint.com

Toppen av isfjellet

Dessverre er dette siste angrepet ikke noe nytt og representerer bare toppen av det velkjente isfjellet. Hackere har alltid brukt denne typen kriser til sin fordel, så det var ingen måte de ville være i stand til å motstå å dra nytte av COVID-19.

Det siste kinesiske APT-dokumentet hadde, ifølge Check Point, tittelen "Om spredningen av nye koronavirusinfeksjoner". Den siterer National Health Committee of China for å fremstå mer autentisk og være mer effektiv. Selv om det har vært en rekke cybertrusler relatert til COVID-19, ser dette ut til å være den første som ble utført av en statsstøttet hackergruppe mot en utenlandsk regjering.

I tillegg til å være det siste i en serie med koronavirusrelaterte hackingangrep, sier Check Point at angrepet bare er det siste i en pågående kampanje fra kinesiske hackere mot andre myndigheter og organisasjoner. Forskjellen er at denne utnyttet koronaviruset som en del av distribusjonsmetoden.

Angrepet ble beskrevet som "utnyttelse av offentlig interesse for koronavirus for [Kinas] egen agenda gjennom en ny cyberinfeksjonskjede." De sier at Vicious Panda retter seg mot land over hele verden – ikke bare Mongolia. De oppfordrer alle offentlige enheter og teleselskaper til å være på vakt over potensielle cybertrusler, spesielt alt som hevder å handle om koronavirus.

E-posten og dokumentene hevder å komme fra Mongolias egen regjering. Minst en av dem hevdet å komme fra utenriksministeren. Kampanjen var rettet mot andre deler av den mongolske offentlige sektoren. Målet med kampanjen så ut til å være å hente informasjon og skjermbilder fra offentlige datamaskiner, redigere og slette filer og ta fjernkontroll over disse datamaskinene.

Hvordan fungerer Vicious Panda Ransomware?
Det ondsinnede vedlegget inneholder en fjerntilgangstrojaner (RAT) som kan ta kontroll over datamaskiner. Trojaneren er programmert til å ha begrensede forbindelser til kommando- og kontrollserveren, noe som kan gjøre den vanskeligere å oppdage. Strukturen til nyttelasten antyder at den kan inkludere andre moduler som er planlagt for installasjon senere som en del av en større kampanje. Etter hva Check Point kan fortelle, er skadelig programvare som brukes i angrepet en helt unik og spesialdesignet stamme, men nøyaktig hvordan den fungerer – og hva den gjør – er ganske vanlig.

ondsinnet panda malware infeksjonskjede
Vicious Panda Infection Chains - Kilde: research.checkpoint.com

Check Point brøt sammen andre deler av kampanjen, for eksempel hvor kommando- og kontrollsenteret var vert. På slutten av dagen er imidlertid denne skadelige programvaren intet mindre enn en statlig sponset kampanje. Den bruker sosial teknikk for å oppmuntre brukere til å laste ned og åpne et vedlegg. Vedlegget laster en annen fil og installerer en bakdør til datamaskinen. Kina kan da utnytte den bakdøren til å spionere på regjeringens mål.

Cybercrooks vil fortsette å utnytte Kina og koronaviruset

Selv om skiltene på toppnivå ikke tilbyr nok informasjon til å finne nøyaktig hvem som står bak angrepet, gravde Check Point ned i skadevarekoden og fant ut at den var lik kode som ble brukt i annen skadelig programvare relatert til Kina. Disse kampanjene var også rettet mot Kinas fiender.

Kina – episenteret for koronaviruset – bruker viruset til sin egen fordel i mange villedende metoder.. Det er ikke overraskende at de vil bruke koronaviruset, ettersom det for øyeblikket er det beste sosiale ingeniørverktøyet tilgjengelig for trusselaktører. Selv vanlige nettkriminelle utnytter det i sine egne kampanjer.

Trender

Mest sett

Laster inn...